MPSec VPN系列安全网关是迈普公司自主研发的从网点接入到中心汇聚应用于各个网络层次VPN安全网关,主要面向电信级VPN中心汇聚、行业用户和大中型企事业单位中心VPN汇聚、小型VPN汇聚、大型网点VPN接入、SOHO VPN接入应用等环境,包括MPSec VPN3020B、MPSec VPN3010E、MPSec VPN3005C、MPSec VPN3005A共4款产品。
MPSec VPN系列安全网关采用IPSec VPN隧道技术,通过建立虚拟的专有安全通道,可以将总部和在家工作、出差在外以及分支机构员工和合作伙伴安全地连接到一起,也可以通过和MPSec VRC(VPN远程客户端)软件配合,系统解决用户移动办公的需要,为企业信息化平台和电子商务系统提供安全保障。并且MPSec VPN3020B安全网关支持双电源冗余、业务板卡热插拔以及特有虚拟安全域功能,使它很适合于电信级VPN运营应用,为运营商企业用户提供安全可靠、易于管理、网络扩展性强、建设成本低的VPN服务。
关键特性
·支持基于预共享密钥和数字证书的强身份认证
·支持IPSec NAT穿越技术
·支持远程动态IP>地址接入和DDNS功能
·支持虚拟安全域技术
·支持隧道自动协商、DPD(Dead Peer Detection)和VPN隧道通知删除技术
·支持多种网络危机处理机制
·支持DHCP over IPSec功能,实现移动用户的内部IP自动配置
·实现VPN安全网络的“0配置”
·支持全面的路由协议和防火墙功能
·采用中文图形化网络管理系统,支持SNMP V3协议,可基于用户组管理
·提供丰富的软件协议和标准加密认证算法
产品特点
支持IPSec加密的软件加速引擎
采用高性能的专用通讯CPU,支持基于ASIC的硬件加密卡,通过迈普独特的IPSec快速转发引擎技术,使得IPSec报文不用到系统IP层转发,提高了转发效率和处理能力,实现对IPSec的性能优化。
支持基于预共享密钥和数字证书的强身份认证
支持基于预共享密钥和数字证书的强身份认证,可以提供在线证书申请、证书撤销、CRL自动更新等各种PKI技术,并具有全面的第三方CA支持能力,可以和MPSec CMS、中国电信CA和Windows2000/2003 CA等多种CA认证中心结合。
支持IPSec VPN穿越NAT技术,突破IPSec原理协议上的冲突导致的应用限制
完善的支持IPSec VPN穿越NAT规范,无需对中间的NAT设备进行特殊配置即可实现VPN隧道穿越NAT。迈普公司作为IPSec VPN穿越NAT技术国家标准的撰写者,致力于IPSec VPN穿越NAT标准的推广,目标是让企业现有的C/S、B/S结构的信息化系统无缝地扩展到全球范围。
支持远程动态IP地址接入和DDNS功能,实现双方均不是固定IP地址的隧道协商
可以接受IP地址不固定的对端VPN设备发起的隧道协商请求,同时支持DDNS(Dynamic Domain Name System)功能,能够很好解决隧道协商双方IP地址均不固定的问题,使得用户无须申请固定IP,可节约网络建设投资。
支持虚拟安全域技术,实现VPN网络之间的隔离以及VPN内网地址复用
支持虚拟安全域技术,可以根据用户身份对IPSec VPN隧道进行隔离,这就很好的解决了企业VPN网络隔离、企业VPN内网地址复用等问题。利用虚拟安全域技术可以使一台VPN设备同时提供给多个独立的企业(或部门)使用,并且无需修改各个企业(或部门)的内部地址规划。
支持隧道自动协商、DPD(Dead Peer Detection)和VPN隧道通知删除技术
在ADSL接入的环境下,支持自动拨号功能、自动建立隧道和VPN隧道通知删除,并基于标准DPD消息可以探测到由于网络故障等原因造成的IPSec VPN隧道断开,从而避免在出现意外情况时,两端VPN设备的状态不同步。
支持多种网络危机处理机制,实现链路备份、隧道备份和负载均衡
可以实现链路备份、隧道备份、负载均衡等功能,支持双机热备份协议VRRP(VBRP),提高了用户的网络稳定性。
支持DHCP over IPSec功能,实现移动用户的内部IP自动配置
支持DHCP over IPSec功能,为移动用户通过VPN接入内部网络时,自动分配一个内部的IP地址,将路由功能、安全功能以及DHCP功能等合为一台设备,为用户节约投资,最为重要的是简化了移动用户的配置问题。
实现“0配置”安全网络
推出“0配置”的解决方案,在迈普公司的配置软件上直接绘制出VPN网络拓扑,根据提示,输入极少关键参数后,软件自动生成配置文件,并下载到相关设备中,即可完成繁琐的配置操作。
支持全面的路由协议和防火墙功能
支持全面的路由协议并集成了完善的防火墙功能,可通过防火墙的访问控制列表对经过VPN的IPSec报文可以根据访问的源和目的地址、源和目的端口、IP协议号进行访问控制,更全面的保证了网络的安全性。此外MPSec VPN系列安全网关还支持AAA认证、L2TP、GRE等安全协议。
采用中文图形化网络管理系统,支持SNMP V3协议,可基于用户组管理
支持基于SNMP V3的集中网络管理方式,采用迈普中文图形化网络管理系统用户可轻松实现对MPSec VPN系列安全网关的网络配置以及VPN隧道的监控、统计、计费、维护等操作,并且还支持基于用户组管理,可以根据对端用户身份标识的不同,利用通配符将用户划分为几个组,在需要对用户身份进行区分和认证的情况下,原本需要几十甚至上百条配置表示的安全策略,可以减小到一条或几条,同时还具有更灵活的密钥管理方式。基于组用户进行VPN隧道的管理,可以明显减小配置难度和提高系统安全性。
提供丰富的软件协议和标准加密认证算法
支持国际标准的IPSec安全协议,支持ESP、AH或者ESP+AH的载荷封装格式,支持传输模式和隧道模式,支持手工配置会话密钥和IKE自动密钥协商密钥,支持IKE主模式和积极模式协商。MPSec VPN系列安全网关可以提供完善的国际标准的加密和认证算法,最高可提供256位密钥长度的对称密钥和2048位长度的非对称密钥。
典型应用一:LAN到LAN的VPN
MPSec VPN系列安全网关可用于在非安全的网络中传递保密信息,我们可以在两个网络边界处各放置一台VPN设备,保护A、B之间的数据信息,它可以对需要被加密的数据流信息进行设定,只有符合隧道条件的数据才会被加密,并且可以在两台VPN设备之间建立多个虚拟隧道,对不同的数据流采用不同的安全策略。同时可以利用MPSec VPN系列安全网关具有的防火墙功能,对通过MPSec VPN系列安全网关的Internet访问进行保护和限制。
典型应用二:星形(hub&spoke)网络和虚拟安全域
采用星形VPN网络在中心采用MPSec VPN系列安全网关作为中心节点,和所有的下端接入级VPN设备建立隧道,而下端接入级VPN设备之间不直接通过隧道相连。
采用虚拟安全域技术,可以将VPN设备连接划分成几个独立的虚拟安全域。属于某个域内的IPSec数据流在中心设备上被解密后只会被重新封装发给同一个域内的另一台VPN设备,不同安全域之间完全相互独立。采用这种部署,由电信为小企业提供VPN服务,可以避免企业不具有固定IP,安全知识和网络维护能力较弱等问题。
典型应用三:移动用户接入
证书服务器为MPSec VPN系列安全网关用户和移动用户颁发证书,移动用户的证书采用智能卡存储,用户登录采用“PIN口令+智能卡”的双因素认证方式,可以更有效的保证密钥的安全性。
如果出现智能卡丢失等意外情况,只需通过证书服务器发布证书撤销列表,或者在中心MPSec VPN系列安全网关上设置证书信任策略,就可防止因证书私钥泄漏带来的安全隐患,而对现有的VPN网络设置无需进行修改。
另外中心的MPSec VPN系列安全网关还可以直接根据接入用户的证书信息进行细粒度的访问控制。
典型应用四:VPN和VoIP的融合
MPSec VPN系列安全网关提供VoIP插槽可插入VoIP语音模块,在VPN网络上承载IP语音,实现VPN与VoIP的融合。